Blog
Regulación·10 de julio de 2026·8 min de lectura

Chat Control: quién lee de verdad sus mensajes y lo que acaba de decidirse en Bruselas.

El 9 de julio, el Parlamento Europeo reactivó hasta 2028 el reglamento que permite a las mensajerías analizar sus conversaciones en busca de material de abuso sexual infantil. Tras el apodo «Chat Control» se esconden dos textos muy distintos y bastante confusión. Lo que la ley permite realmente, quién escanea qué y lo que queda por decidir para sus mensajes privados.

ME
Mohamed ESSID
Fundador — Trasimène

Tres meses en los que escanear era ilegal

Casi nadie se dio cuenta: entre el 4 de abril y el 9 de julio de 2026, las grandes mensajerías ya no tenían derecho a analizar sus conversaciones en Europa. El reglamento que lo autorizaba desde 2021, el que se conoce como Chat Control 1.0, expiraba en primavera. El 26 de marzo, el Parlamento Europeo se negó a prorrogarlo. Resultado: tres meses sin ninguna base legal. Un vacío jurídico que nadie había previsto de verdad.

Luego el expediente volvió a la mesa, y esta vez las reglas del juego habían cambiado. En segunda lectura, para rechazar la posición del Consejo no basta la mayoría de los diputados presentes. Hace falta la mayoría absoluta de los 720 eurodiputados, es decir, 361 votos. El 9 de julio, 314 diputados votaron a favor del rechazo, 276 en contra y 17 se abstuvieron. Faltaron 47. El texto se considera por tanto adoptado, y el escaneo voluntario vuelve a ser legal hasta el 3 de abril de 2028.

Un elemento de esa misma votación merece atención. Los diputados aprobaron una enmienda que excluye expresamente a las mensajerías cifradas de extremo a extremo del ámbito del reglamento. Pero el Consejo aún tiene que aceptarla y, en el momento de publicar este artículo, no está en vigor.

Lo que la ley permite exactamente

El texto oficial se llama Reglamento (UE) 2021/1232. Adoptado en julio de 2021, abre una excepción temporal a la directiva ePrivacy, la que protege la confidencialidad de sus comunicaciones electrónicas. En la práctica, permite a los proveedores de correo y mensajería analizar lo que transita por sus servidores para detectar y denunciar material de abuso sexual infantil y localizar a adultos que intentan contactar con menores.

Conviene aclarar antes algunos malentendidos. Ninguna mensajería está obligada a escanear nada: el reglamento levanta una prohibición para las que deciden hacerlo, y la mayoría de las grandes plataformas americanas ya lo hacían mucho antes de 2021. La excepción tampoco permite buscar otra cosa. Sus opiniones políticas o sus discusiones acaloradas no son el objetivo; las herramientas comparan esencialmente sus imágenes con bases de huellas de contenidos ya identificados por las autoridades.

Queda la palabra «temporal», que merece sus comillas. El reglamento estaba previsto para tres años. Se prorrogó en 2024, expiró en abril de 2026 y acaba de renovarse por dos años más. A fuerza de prórrogas excepcionales, la excepción empieza a parecerse a una costumbre.

Quién escanea qué, en la práctica

Si usted usa Gmail, Outlook, Facebook Messenger, Instagram o Snapchat, las fotos y mensajes que pasan sin cifrar por los servidores pueden compararse con esas bases de huellas. La magnitud se ve en las cifras del NCMEC, el organismo estadounidense que centraliza las denuncias: 20,5 millones en 2024, casi todas generadas por los escaneos automáticos de las plataformas.

Las mensajerías cifradas de extremo a extremo juegan en otra liga. WhatsApp, Signal, iMessage y Messenger desde finales de 2023: en estos servicios, el contenido de sus conversaciones es ilegible para los servidores que las transportan. Solo su dispositivo y el de su interlocutor poseen las claves. Es matemática, no regulación, y ningún reglamento lo cambia.

Precisamente por eso el verdadero debate de los últimos años se ha desplazado hacia una idea mucho más intrusiva: escanear los mensajes directamente en su teléfono, antes del cifrado. Volvemos sobre ello más abajo.

Máquinas que se equivocan

A esta escala, el escaneo automático produce errores inevitablemente, y no son raros. Amazon reconoce usar un umbral de detección deliberadamente amplio que genera, según sus propias palabras, un porcentaje elevado de falsos positivos. Investigadores de Stanford calcularon que cerca del 80 % de las denuncias etiquetadas como «IA generativa» enviadas al NCMEC en el primer semestre de 2025 no contenían en realidad ningún material generado por IA.

Detrás de las estadísticas hay personas. El caso más conocido es el de un padre americano que fotografió una infección de su hijo para enviársela al médico, en plena pandemia. Las fotos, guardadas automáticamente en la nube, activaron los algoritmos de Google. Su cuenta fue cerrada de la noche a la mañana, diez años de correos y fotos perdidos, y se abrió una investigación policial. La investigación concluyó lo evidente: nada que señalar. Google nunca restauró la cuenta.

Ese es el punto ciego del sistema. Una denuncia automática no es una prueba, pero sus consecuencias llegan de inmediato, y a veces para siempre, antes de que un humano haya verificado nada en serio.

El verdadero debate no ha terminado

El reglamento definitivo, propuesto en mayo de 2022 y apodado Chat Control 2.0, iba mucho más lejos en su origen. Preveía órdenes de detección obligatorias: la posibilidad de obligar a una mensajería, incluso cifrada, a analizar las comunicaciones de sus usuarios. Ese texto movilizó durante tres años a criptógrafos, autoridades de protección de datos y buena parte de la sociedad civil, y bloqueó el expediente en el Consejo.

En noviembre de 2025, el Consejo acabó renunciando al escaneo obligatorio en su posición negociadora. Lo que queda sobre la mesa no es menor: un marco permanente de escaneo voluntario, obligaciones de verificación de edad que se aplicarían también a los servicios cifrados, obligaciones de «reducción de riesgos» lo bastante vagas para mantener la presión sobre el cifrado y un centro europeo dedicado. Las negociaciones entre Parlamento y Consejo se retoman en septiembre de 2026 bajo presidencia irlandesa.

En resumen: el 1.0 está prorrogado, el 2.0 sigue negociándose y la cuestión central no se ha movido ni un milímetro. ¿Se puede obligar o no a una mensajería cifrada a mirar dentro de los mensajes de sus usuarios?

Lo que cambia para usted

  • En los servicios que no están cifrados de extremo a extremo (correo clásico, mensajes privados de redes sociales), sus contenidos pueden ser analizados legalmente por algoritmos de detección. Era así antes de abril de 2026 y vuelve a serlo.
  • En las mensajerías cifradas de extremo a extremo, los servidores no pueden leer sus conversaciones. Compruebe simplemente que el cifrado está activo: lo está por defecto en WhatsApp, Signal e iMessage, no en todas partes.
  • Una cuenta puede suspenderse por una simple denuncia automática, sin intervención humana. Guarde una copia independiente de lo que de verdad importa, fotos y documentos, en lugar de confiarlo todo a un solo ecosistema.
  • Y el debate continuará: la cuestión del escaneo en el dispositivo volverá en cuanto se retomen las negociaciones del reglamento definitivo.
El cifrado de extremo a extremo no es una herramienta de delincuentes. Es la tecnología que protege sus conversaciones bancarias, médicas y familiares. Todo el debate europeo se reduce a saber si se puede debilitar «solo un poco» para escanear. Los criptógrafos llevan diez años dando la misma respuesta: un cifrado debilitado para un fin queda debilitado para todos.

Lo que hace Trasimène, y lo que no

Digámoslo claramente: ningún antivirus y ninguna VPN impedirán que una mensajería analice lo que pasa por sus servidores. El escaneo ocurre en la plataforma, sobre contenidos que usted le ha confiado. Una VPN cifra el trayecto entre su dispositivo y el servidor, no lo que la plataforma hace después con sus datos. Si alguien le vende una «protección contra Chat Control», desconfíe del vendedor.

El terreno de Trasimène es la otra vertiente de su privacidad: los programas espía instalados en su teléfono, las aplicaciones que extraen sus datos, el phishing dirigido a sus cuentas y la confidencialidad de su tráfico en redes que usted no controla. Frente al escaneo en el servidor, su mejor palanca cabe en una frase: elegir mensajerías cifradas de extremo a extremo y saber qué puede hacer cada servicio, o no, con sus contenidos.

Quédese con el mapa del tema y no con el ruido que lo rodea. Lo que está en vigor hoy es un escaneo voluntario, limitado al material de abuso infantil, en servicios sin cifrar, y prorrogado hasta abril de 2028. Lo que sigue en juego es el destino de las mensajerías cifradas, en Bruselas a partir de septiembre. Mientras tanto, los buenos hábitos no cambian: mensajerías cifradas de extremo a extremo para lo privado, copias de seguridad independientes para lo valioso y un poco de atención a lo que cada plataforma hace con sus contenidos.

Fuentes
  1. Regulation (EU) 2021/1232, official text of the ePrivacy derogation (EUR-Lex, 2021)
  2. Regulation (EU) 2024/1307, first extension of the derogation until 3 April 2026 (EUR-Lex, 2024)
  3. The Register, "EU 'Chat Control' snoopfest returns after vote to kill it falls short" (9 July 2026)
  4. Patrick Breyer (former MEP), "EU Parliament greenlights Chat Control 1.0" (9 July 2026)
  5. CDT Europe, response to the European Parliament rejection of the Chat Control 1.0 extension (March 2026)
  6. eucrim, "CSA Regulation: Council Position Reached" (November 2025)
  7. EU Perspectives, "Strict combating child sexual abuse, no mandatory scanning. Council has a common position on 'chat control'" (November 2025)
  8. NCMEC, CyberTipline Data 2024 (20.5 million reports)
  9. Stanford Center for Internet and Society, "Letter to NCMEC about AI-CSAM Report Statistics" (2025)
  10. The New York Times, "A Dad Took Photos of His Naked Toddler for the Doctor. Google Flagged Him as a Criminal." (August 2022)
  11. Meta Newsroom, "Launching Default End-to-End Encryption on Messenger" (December 2023)
Trasimène — Seguridad móvil

Descubra lo que protege Trasimène

Descargar Trasimène →
Artículos relacionados
Volver al blog